Informationssicherheit
Mittlerweile wird es für Unternehmen zunehmend komplex, ein angemessenes Schutzniveau zu erreichen. Grund dafür ist der stetig wachsende Grad der Digitalisierung, der durchgängig hohe Wertschöpfungsanteil der IT sowie die Vielzahl an internetfähigen Geräten und nicht zuletzt die Verschiedenheit der IT-Systeme. Um hier die Informationssicherheit zu garantieren führt nur der ganzheitliche Ansatz verlässlich zum Erfolg: eine integrative Strategie, die Mitarbeiter, Prozesse und Technologien gleichermaßen berücksichtigt.
Zur Gewährleistung der Informationssicherheit müssen alle Maßnahmen ergriffen werden, um IT-Systeme sowie die unterschiedlichen Arten von Daten zu schützen. Der individuelle Schutzgrad wird dabei durch deren Wert für das Unternehmen – also gemäß ihrer Kritikalität – bestimmt: Allgemein gilt, dass fünf Prozent der Daten, zum Beispiel aus der Abteilung „Forschung und Entwicklung“ oder Kundendaten, unternehmenskritisch sind und ein besonders hohes Schutzniveau beanspruchen.
Diese fünf Prozent müssen Sie identifizieren und adäquat vor jedem unbefugten Zugriff bewahren. Personenbezogene Daten, zum Beispiel Kundendaten, unterliegen zudem besonderer Bestimmungen.
Unternehmen müssen sich von der Vorstellung verabschieden, Informationssicherheit als fertige technische Komplett-Lösung einkaufen zu können. Stattdessen heißt es, den grundlegenden Bedarf an Absicherung aller unternehmenskritischen Geschäftsprozesse, Anwendungen und IT-Systeme zu ermitteln, um basierend darauf die notwendigen Schutzmaßnahmen angemessen abzuleiten.
Denn ein ganzheitliches Konzept zur Informationssicherheit beinhaltet zahlreiche Aspekte. Hierbei müssen sämtliche relevanten Maßnahmen zur Erreichung eines adäquaten Schutzlevel bedacht und umgesetzt werden: also alle wirksamen Präventions- und Reaktionssicherheitsmaßnahmen zur Abwehr von Ausspähungen, gegen den Abfluss von Know-how, Datenmanipulationen und Sabotage. Des Weiteren ist es auch unerlässlich, organisatorische und personelle Maßnahmen einzuplanen: dazu gehört die Definition zum Umgang mit sensiblen Daten ebenso wie die spezifische Richtlinie zur sicheren Nutzung der mobilen Endgeräte.
Schutzziele der Informationssicherheit:
Die Unversehrtheit von Daten ist eine notwendige Anforderung. Das heißt, sie müssen sowohl vor Manipulation durch unbefugte Dritte als auch mangelbehafteten Infrastrukturen geschützt werden. Die Gewährleistung der Integrität aller (kritischen) Daten mit angemessenen technischen und organisatorischen Maßnahmen ist elementar, da durch deren Manipulation potentiell gravierende Schäden entstehen. Zum Beispiel: eine mit Vorsatz herbeigeführte unrechtmäßige Änderung der Materialbedarfsplanung im ERP-System kann dazu führen, dass aufgrund einer Fehlmenge ein Produktionsstillstand verursacht wird.
Daten müssen möglichst kontinuierlich zur Verfügung stehen. Das bedeutet, es sind alle technischen Maßnahmen zu treffen, die sicherzustellen, dass das Risiko eines Systemausfalls minimiert und somit auf die Daten im Bedarfsfall zugegriffen werden kann.
Zum Beispiel: Wenn bei der Entwicklung einer KI-basierten Anwendung nicht sichergestellt ist, dass im Lernprozess auf die relevante Daten zugegriffen werden kann, wird dadurch das Ergebnis negativ beeinflusst.
Daten müssen vor einem unbefugten Zugriff sowohl bei der Kommunikation als auch der Speicherung geschützt werden. Das bedeutet, es muss sichergestellt sein, dass nur befugte Personen Daten einsehen, verarbeiten oder versenden dürfen.
Zum Beispiel: es erhalten nur Mitarbeiter in der Buchhaltung die Berechtigung im Rahmen ihrer Tätigkeit auf die notwendigen Personal- und Kundendaten zugreifen zu können.
Nur wer die Gefahren kennt, kann eine sinnvolle Strategie zu deren Abwehr entwickeln. Hierfür bedarf es neben dem entsprechenden Know-how zugleich einer präzisen Abwägung: Die eingesetzten Budgets und Sicherheitsmaßnahmen sollten absolut in Relation zu den Risiken aber auch den unternehmenskritischen Werten stehen.
Doch auch der Einsatz modernster Sicherheitstechnologien kann keinen vollständigen Schutz gegen alle Cyberrisiken gewährleisten. Es muss immer die Möglichkeit eines Angriffs einkalkuliert werden. Von daher gilt es die Schwachstellen und Bedrohungen im Unternehmen zu identifizieren, um hier eine gezielte Vorgehensweise zu gewährleisten.
Aufgabenstellung: Mitarbeiter stellen ein beliebtes Angriffsziel dar, da sie mittels spezieller Praktiken, etwa Social Engineering und/oder Phishing dazu gebracht werden können, infiltrierte E-Mail-Anhänge zu öffnen oder Passwörter am Telefon preiszugeben. Eine weitere Möglichkeit, Identitätsdaten zu erlangen, besteht im Einsatz spezieller Schadprogramme, die unter anderem über manipulierte Webseiten heruntergeladen werden.
Lösung: Dieses Gefährdungspotential lässt sich durch Awareness-Schulungen minimieren, indem den Mitarbeitern das notwendige Wissen über bestehende Gefahren bezüglich der Nutzung von IT-Systemen und dem Umgang mit Daten vermittelt wird.
Aufgabenstellung: Angreifer setzen Schadsoftware wie Spyware, Keylogger oder Ransomware ein, um Daten auszuspähen, Zugangsdaten abzugreifen oder Erpressungen durchzuführen. Hierfür werden vorhandene Schwachstellen in den IT-Systemen ausgenutzt. Social Engineering, also die Beeinflussung von Mitarbeitern, wird dabei eingesetzt, um die Effizienz der Angriffe zu erhöhen.
Das Einschleusen der Malware beziehungsweise der speziellen Schadfunktionen einer Malware – ein Hauptziel sind hierbei IT-Endgeräte – geschieht über E-Mail-Anhänge oder infiltrierte Webseiten mithilfe von so genannten Drive-by-Downloads.
Lösung: Ihre IT-Systeme müssen vor Angreifern geschützt werden. Hierzu gilt es einen gewissen Grundschutz vor Schadsoftware herzustellen, der individuell auf den Bedarf Ihres Unternehmens abgestimmt ist.
Aufgabenstellung: Software ist niemals fehlerfrei – selbst bei sorgfältigster Programmierung treten im Mittel zwei Fehler pro 1.000 Zeilen Code auf. Einige Fehler werden im Laufe der Zeit behoben, aber zum Ende der Nutzungsdauer steigt die Fehlerkurve wieder an. Das führt letztendlich dazu, dass die Software veraltert.
Dies birgt ein hohes Gefährdungspotential für die Unternehmen, denn vorwiegend über nicht einwandfreie Programme und Betriebssysteme mit Schwachstellen – dies gilt insbesondere für die gängigen Produkte – wird oftmals Schadsoftware in die IT-Systeme und Netzwerke der Unternehmen eingeschleust.
Lösung: Hier hilft nur, in Ihrem Unternehmen ein stringentes Update-Management einzurichten.
Aufgabenstellung: Es gibt keine Garantie dafür, dass Hersteller ihre Geräte und Komponenten tatsächlich in einer fehlerfreien Software-Version ausliefern. Von daher ist es notwendig, alle Systeme mittels Updates immer auf dem neuesten Stand zu halten, um Schwachstellen für Angriffe zu schließen.
Lösung: Auch wenn dies einerseits Aufwand erfordert und andererseits daraus weder erkennbar eine Leistungssteigerung noch ein Effizienzgewinn resultiert, sollte unter sicherheitstechnischen Aspekten Ihr Patch-Management zentral kontrolliert erfolgen.